怎么查看服务器被入侵？

在网上，有不少人恶意入侵别人的服务器，做一些坏事。作为服务器管理人员，要经常检查自己的服务器安全。如果发现服务器被入侵，要尽快做相关的补救措施。但前提，你要能发现自己的服务器被入侵。其实还是有一些技巧的：第一步、检查系统组及用户有没有异常1：我的电脑——右键管理——本地用户和组——组检查administrators组内是否存在除开管理员用户账号（默认为administrator）以外的其他用户账号。检查users组内是否存在非系统默认账号或管理员指定账号。2：本地用户和组——用户检查是否存在未做注释或名称异常的用户。如果发现有异常，马上删除这些异常用户。第二步：查看管理员的日常登录日志。主要是检查管理员账户是否存在异常的登陆和注销记录具体的操作步骤：我的电脑——右键管理——事件查看器——安全性具体的检查方法：筛选所有事件ID为576和528的事件（576为系统登陆日志528为系统注销日志）查看具体事件信息内容。内容内会存在一个登陆IP。检查该IP是否为管理员常用登陆的IP。一般通过上面两个方法，就很容易检查到自己的服务器有没有被入侵。

01 查看服务器当前登录用户

最基础的方法之一，查看当前登录服务器的用户，如有异常用户或IP地址正在登录，说明服务器很可能被入侵（侵犯），命令的话，使用w，who，users等都可以：

02 查看服务器历史登录痕迹

服务器会记录曾经登录过的用户和IP，以及登录时间和使用时长，如果存在异常用户或IP地址曾经登录过，就要注意了，服务器很可能被入侵，当然，对方为了掩盖登录，会清空/var/log/wtmp日志文件，要是你运行了last命令，只有你一个人登录，而你又从来没清空过记录，说明被入侵了：

03 查看异常消耗CPU进程

非异常情况下，服务器被入侵后，对方通常会执行一些非常消耗CPU任务或程序，这时你就可以运行top命令，查看进程使用CPU的情况，如果有异常进程非常消耗CPU，而你又从来没有执行过这个任务，说明服务器很可能被入侵了：

04 检查服务器系统进程

消耗CPU不严重或者未经授权的进程，通常不会在top命令中显示出来，这时你就需要运行“ps auxf”命令检查所有系统进程，如果有异常进程在后台悄悄运行，而你又从来没有执行过，这时就要注意了，服务器很可能被入侵了：

无论是linux还是windows，都需要通过网络端口进行访问，一些程序和服务是有固定的默认端口存在的。而这些默认的端口如果不进行防护和修改的话，就容易对入侵。系统一共有65535个端口。入侵者一般都会先选择默认端口进行连接尝试。而修改数字大的端口，会给入侵者带来很大的难度。观观（南昌壹基比）下面讲解一下如果进行端口防御呢？

1、修改默认远程端口3389/22

2、修改默认FTP端口21

3、修改默认Mysql/Mssql端口3306/1433

4、关闭易入侵端口：88、137、138、139、389、445、464、593、636、1025、3001-3003、3095-3097等

5、关闭影子账号端口：4899

6、关闭易提权端口：123

7、关闭imail激活的两个IP，限制连接所有端口156.21.1.171、156.21.1.22

8、使用安全策略进行协同防护

9、配置并开启防火墙

10、配置服务器安全狗软件

11、如不适用UDP端口，封闭所有UDP。

以上修改可有助于防入侵，但并不是必然防护。仍需运维人员长期定期进行服务器安检维护。

FTP工具与端口，在不使用的情况下，建议直接关闭端口。删除软件。

---